Última actualización: junio de 2026
El presente Acuerdo de Encargado del Tratamiento ("DPA", por sus siglas en inglés) se suscribe entre el cliente ("Responsable del Tratamiento") y Victoria Elena Garcia Quintero, titular de Devit ("Encargado del Tratamiento"), de conformidad con el artículo 28 del Reglamento (UE) 2016/679 (RGPD).
Responsable del Tratamiento: La empresa o profesional ("Tenant") que contrata Devit y determina los fines y medios del tratamiento de datos de sus leads/clientes.
Encargado del Tratamiento: Devit, que trata datos por cuenta del Responsable.
Interesados: Los leads y usuarios finales que interactúan con el agente IA del Tenant.
En el marco del servicio, Devit trata en nombre del Tenant los siguientes datos de carácter personal de los Interesados:
— Nombre y apellidos (cuando se faciliten voluntariamente)
— Número de teléfono (canal WhatsApp)
— Mensajes e historial de conversación con el agente IA
— Preferencias e intenciones de compra/contratación manifestadas en el chat
— Datos de citas agendadas (cuando el módulo de citas está activo)
Los datos se tratan exclusivamente para prestar el servicio contratado: cualificación automática de leads y atención al cliente mediante inteligencia artificial, en nombre y por instrucción del Responsable.
Devit tratará los datos únicamente siguiendo las instrucciones documentadas del Responsable (configuración de prompts, sectores, objetivos) y no los utilizará para fines propios ni los cederá a terceros salvo los subencargados indicados en este DPA.
Devit utiliza los siguientes subencargados para prestar el servicio:
— Groq, Inc. (EEUU) — procesamiento de lenguaje natural con IA. Opera bajo Cláusulas Contractuales Estándar (SCCs) aprobadas por la Comisión Europea.
— DigitalOcean, LLC — alojamiento en servidores en Frankfurt (Unión Europea). No implica transferencia internacional.
— Google LLC (Google Calendar API) — integración opcional de agenda. Opera bajo SCCs cuando aplica.
Devit notificará al Responsable con antelación suficiente cualquier cambio en los subencargados.
Devit implementa las siguientes medidas técnicas y organizativas para proteger los datos:
— Cifrado en tránsito (HTTPS/TLS)
— Acceso restringido a los datos por autenticación
— Separación de datos por tenant (arquitectura multi-tenant segura)
— Copias de seguridad diarias cifradas
— Registro de accesos y auditoría
Cuando los Interesados ejerzan sus derechos (acceso, rectificación, supresión, portabilidad, oposición) ante el Responsable, Devit asistirá al Responsable para dar cumplimiento a dichas solicitudes en un plazo máximo de 5 días hábiles.
Devit notificará al Responsable sin dilación indebida, y en cualquier caso en un plazo máximo de 72 horas, cualquier violación de seguridad que afecte a datos personales tratados en virtud de este DPA.
Este DPA está vigente durante la relación contractual SaaS. A la finalización del contrato o a petición del Responsable, Devit procederá a la supresión o devolución de los datos en un plazo máximo de 30 días, salvo obligación legal de conservación.
Devit utiliza sistemas de inteligencia artificial (modelos de lenguaje de gran escala) para prestar el servicio. En virtud del Reglamento (UE) 2024/1689 sobre Inteligencia Artificial:
— Devit actúa como proveedor del sistema de IA y cumple con las obligaciones de transparencia y documentación aplicables a sistemas de riesgo limitado.
— El Responsable actúa como desplegador del sistema de IA y asume la responsabilidad de informar a sus usuarios finales de que interactúan con un sistema de inteligencia artificial, de conformidad con el artículo 50 del EU AI Act.
— Ambas partes se comprometen a no utilizar el sistema de IA para finalidades de alto riesgo sin haber realizado previamente la evaluación de conformidad exigida.
— Las decisiones que afecten significativamente a los derechos o intereses de los usuarios finales (acceso a servicios, evaluaciones, selección de candidatos) deben contar siempre con supervisión humana efectiva.
— El modelo de IA utilizado (Llama 3.3-70B vía Groq, Inc.) es un modelo de IA de uso general (GPAI) bajo el EU AI Act.
El Responsable tiene derecho a auditar el cumplimiento de este DPA previa notificación con 30 días de antelación. Devit facilitará toda la información necesaria para demostrar el cumplimiento.